Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Virus Filecoder.Sodinokibi - kadiaľ prišiel?

Stroj s Win7 Pro, povolený port na RDP (na routri presmerovaný z vonku na iné, neštandardné číslo portu), nastavené zdielanie vybraných adresárov. Pod názvom Filecoder.Sodinokibi ho pozná NOD. Viac momentálne neviem, toto zobrazil NOD na inom PC pri pokuse uložiť TXT súbor s prekopírovanou výzvou na zaplatenie. Stalo sa to v noci, iné PC boli v tom čase vypnuté. Presnú verziu budem (možno) vedieť až keď budem mať ten PC v rukách.

Otázka je, kadiaľ prišiel? Cez RDP? Využíva nejakú dieru v protokole? Alebo háda meno a heslo? Alebo nainfikoval router (na ten nemám prístup) a následne využil nejakú dieru v zdielaní a pod?

Jsou zobrazeny jen nové odpovědi. Zobrazit všechny
Předmět Autor Datum
Vypni RDP v Registroch: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] "fDeny…
Nuda 27.09.2021 12:33
Nuda
No to RDP je tam nutne, takze tadial asi cesta nevedie... Dobre tomu rozumiem, ze ten install-antim…
palos2 27.09.2021 12:54
palos2
když potřebuju zapnuté rdp, tak jen s režimem "ověření v síti": REM povoleno s omezenim Authentica… poslední
lední brtník 28.09.2021 00:29
lední brtník

No to RDP je tam nutne, takze tadial asi cesta nevedie...

Dobre tomu rozumiem, ze ten install-antimalware-fix.exe ma skontrolovat resp. vycistit virus? Ak je to tak, tak to zrejme radsej preformatujem cele, data su aj tak fuc.

Mne sa skor jedna o to, aby sa to nestalo znova, teda ktoru konkretnu zaplatu skontrolovat, pripadne vzdialene (nedestruktivne) otestovat zranitelnost.

když potřebuju zapnuté rdp, tak jen s režimem "ověření v síti":

 REM povoleno s omezenim Authentication level
 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /d 0x0 /t REG_DWORD /f
 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v UserAuthentication /d 0x1 /t REG_DWORD /f 

záplata vyšla v květnu 2019.
číslo kritického balíku pro w10 nevím, mají pro každý servicepack jiný - a hlavně to m$ látal celý rok. takže asi mít kritické aktualizace z r.2019
ale zase w10 edice 2020 už to má mít zalátané.

Stroj s Win7 Pro...

už jsme doma, je to kb4499175. dostanu diplomek za pozorné čtení dotazu.
https://martinhaller.cz/bezpecnost/zranitelnosti-rdp-bluekeep-a-dejablue/

Zpět do poradny Odpovědět na původní otázku Nahoru